최근에 출시가 발표되었다 Linux 배포판의 새 버전 "Bottlerocket 1.7.0", Amazon의 참여로 개발된 격리된 컨테이너를 효율적이고 안전하게 실행합니다.
Bottlerocket을 처음 사용하는 분들은 이것이 Linux 커널과 컨테이너를 실행하는 데 필요한 구성 요소만 포함하는 최소 시스템 환경을 포함하는 자동으로 원자적으로 최신의 분할할 수 없는 시스템 이미지를 제공하는 배포판이라는 것을 알아야 합니다.
병으로켓 정보
환경 systemd 시스템 관리자, glibc 라이브러리 사용, Buildroot 빌드 도구, GRUB 부트 로더, 컨테이너 샌드박스 런타임, Kubernetes 컨테이너 오케스트레이션 플랫폼, aws-iam 인증자 및 Amazon ECS 에이전트.
컨테이너 오케스트레이션 도구는 기본적으로 활성화되고 AWS SSM 에이전트 및 API를 통해 관리되는 별도의 관리 컨테이너로 제공됩니다. 기본 이미지에는 명령 셸, SSH 서버 및 해석된 언어(예: Python 또는 Perl)가 없습니다. 관리 및 디버깅 도구는 기본적으로 비활성화되어 있는 별도의 서비스 컨테이너로 이동됩니다.
유사한 배포판과의 주요 차이점 Fedora CoreOS, CentOS / Red Hat Atomic Host 등 최대 보안 제공에 중점을 둡니다. 운영 체제 구성 요소의 취약성 악용을 복잡하게 만들고 컨테이너 격리를 증가시키는 가능한 위협에 대한 시스템 보호를 강화하는 맥락에서.
컨테이너는 일반적인 Linux 커널 메커니즘인 cgroup, 네임스페이스 및 seccomp를 사용하여 생성됩니다. 추가 격리를 위해 배포는 "응용 프로그램" 모드에서 SELinux를 사용합니다.
루트 파티션이 읽기 전용으로 마운트됨 /etc 구성의 파티션이 tmpfs에 마운트되고 재부팅 후 원래 상태로 복원됩니다. /etc/resolv.conf 및 /etc/containerd/config.toml과 같은 /etc 디렉토리에 있는 파일의 직접 수정은 지원되지 않습니다. 구성을 영구적으로 저장하려면 API를 사용하거나 기능을 별도의 컨테이너로 이동해야 합니다.
루트 파티션의 무결성에 대한 암호화 검증을 위해 dm-verity 모듈이 사용되며, 블록 장치 수준에서 데이터를 수정하려는 시도가 감지되면 시스템이 재부팅됩니다.
대부분의 시스템 구성 요소는 Rust로 작성되었으며, 메모리 영역이 해제된 후 주소 지정, null 포인터 역참조 및 버퍼 오버플로로 인해 발생하는 취약점을 방지하는 메모리 안전 도구를 제공합니다.
컴파일할 때 "--enable-default-pie" 및 "--enable-default-ssp" 컴파일 모드가 기본적으로 사용되어 카나리아 태그 대체를 통해 실행 가능한 주소 공간(PIE) 무작위화 및 스택 오버플로 보호를 활성화합니다.
Bottlerocket 1.7.0의 새로운 기능은 무엇입니까?
이 새로운 버전의 배포판에서 눈에 띄는 변경 사항 중 하나는 RPM 패키지 설치 시 JSON 형식의 프로그램 목록 생성을 위해 제공 사용 가능한 패키지에 대한 정보를 얻으려면 호스트 컨테이너에 /var/lib/bottlerocket/inventory/application.json 파일로 마운트합니다.
또한 Bottlerocket 1.7.0에는 다음이 포함됩니다. "admin" 및 "control" 컨테이너 업데이트, 패키지 버전과 Go 및 Rust의 종속성.
한편 하이라이트 타사 프로그램이 포함된 업데이트된 버전의 패키지, 또한 kmod-5.10-nvidia에 대한 tmpfilesd 구성 문제를 수정하고 tuftool 종속성 버전을 설치할 때 연결됩니다.
마지막으로 그런 분들을 위해 그것에 대해 더 알고 싶어함 이 배포판에 대해, 당신은 툴킷과 배포판 제어 구성 요소가 Rust로 작성되었으며 MIT 및 Apache 2.0 라이센스에 따라 배포된다는 것을 알아야 합니다.
병 로켓 Amazon ECS, VMware 및 AWS EKS Kubernetes 클러스터 실행 지원, 컨테이너를 위한 다양한 오케스트레이션 및 런타임 도구를 가능하게 하는 사용자 정의 빌드 및 에디션을 생성할 뿐만 아니라
자세한 내용을 확인하실 수 있으며, 다음 링크에서.